【信息打点】信息搜集狠狠狠重要！

免责声明：本文仅做分享~

本文仅是xiaodi 23 的笔记，关键还是自己的思路，自己整理，仅供参考。

大数据时代，信息.数据就在眼前，不要懒哈

 

---

 

信息打点

查询平台

标签 名称 地址

企业信息 天眼查 天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统

企业信息 小蓝本 获客营销系统_ai智能拓客系统_企业获客系统-小蓝本获客系统

企业信息 爱企查 百度安全验证

• 超级会员

企业信息 企查查 企查查 - 查企业_查老板_查风险_企业信息查询系统

企业信息 国外企查 https://opencorporates.com/

企业信息 启信宝 启信宝-企业查询_企业信用信息平台

备案（）备案就是，以这个公司名下的网站）信息 备案信息查询 ICP备案查询网 - 网站备案查询 - 工信部域名备案查询实时数据

备案信息 备案管理系统 https://beian.miit.gov.cn/

公众号信息 搜狗微信搜索 搜狗微信搜索_订阅号及文章内容独家收录，一搜即达

注册域名 域名注册查询 域名注册购买_域名注册选购 - 腾讯云

IP反查 IP反查域名 微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

IP反查 IP反查域名 理账狮公会管理系统

标签 名称 地址

DNS数据 dnsdumpster https://dnsdumpster.com/

证书查询 CertificateSearch crt.sh | Certificate Search

网络空间 FOFA 网络空间测绘，网络空间安全搜索引擎，网络空间搜索引擎，安全态势感知 - FOFA网络空间测绘系统

网络空间 全球鹰 鹰图平台(hunter)-奇安信网络空间测绘系统

网络空间 360 360网络空间测绘 — 因为看见，所以安全

威胁情报 微步在线 情报社区 微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

威胁情报 奇安信 威胁情报中心 奇安信威胁情报中心

威胁情报 360 威胁情报中心 360安全大脑

枚举解析 在线子域名查询 在线子域名二级域名查询工具 - 在线工具

枚举解析 DNSGrep子域名查询 https://www.dnsgrep.cn/subdomain

枚举解析 工具强大的子域名收集器 GitHub - shmilylty/OneForAll: OneForAll是一款功能强大的子域收集工具

标签 名称 地址

指纹识别 在线cms指纹识别 http://whatweb.bugscaner.com/look/

指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer

指纹识别 TideFinger潮汐 TideFinger 潮汐指纹 TideFinger 潮汐指纹

指纹识别 云悉指纹 yunsee.cn-2.0

指纹识别 WhatWeb GitHub - urbanadventurer/WhatWeb: Next generation web scanner

指纹识别 数字观星Finger-P 指纹收录平台

标签 名称 地址

网络空间 钟馗之眼 ZoomEye - Cyberspace Search Engine

网络空间 零零信安 零零信安 | ASM | 攻击面 | 外部攻击面管理专家 | 比攻击者更快一步了解您自己的风险

网络空间 Shodan https://www.shodan.io/

网络空间 Censys Attack Surface Management and Threat Hunting Solutions | Censys

网络空间 ONYPHE Cyber Defense Search Engine | ONYPHE

网络空间 FullHunt https://fullhunt.io/

网络空间 Soall Search Engine https://soall.org/

网络空间 Netlas https://app.netlas.io/responses/

网络空间 Leakix LeakIX

网络空间 DorkSearch DorkSearch - Speed up your Google Dorking

威胁情报 VirusTotal在线查杀平台 VirusTotal

威胁情报 VenusEye 威胁情报中心 VenusEye威胁情报中心

威胁情报 绿盟科技 威胁情报云 NTI - 威胁情报中心

威胁情报 IBM 情报中心 IBM X-Force Exchange

威胁情报 天际友盟安全智能平台 RedQueen - 天际友盟威胁情报中心_情报查询_情报订阅

威胁情报 华为安全中心平台 华为安全智能中心

威胁情报 安恒威胁情报中心 安全星图平台

威胁情报 AlienVault LevelBlue - Open Threat Exchange

威胁情报 深信服 https://sec.sangfor.com.cn/

威胁情报 丁爸情报分析师的工具箱 丁爸网-首页

威胁情报 听风者情报源 start.me https://start.me/p/X20Apn

威胁情报 GreyNoise Visualizer GreyNoise Visualizer

威胁情报 URLhaus 数据库 URLhaus | Checking your browser

威胁情报 Pithus Pithus

业务资产

目标旗下的资产，信息： 1、WEB应用 2、APP应用 3、PC端应用 4、小程序应用 5、微信公众号 6、其他产品等

例

• 爱企查

  • 旗下的app，web，小程序等都清晰明了

  • 超级会员

• 小蓝本

  • 免费

• 备案查询

  网站域名备案查询

类型

• 1、WEB应用

• 2、APP应用

• 3、PC端应用

• 4、小程序应用

• 5、微信公众号

• 6、其他产品等

web应用

域名

• 单域名查 备案信息

• 注册查询

  有的域名已经被注册了

• ip反查域名

  微步，

• 子域名

  • DNS数据

    曾经对域名做过的解析都有记录。

    • DNS数据 dnsdumpster https://dnsdumpster.com/

  • 证书查询

    https

    • 证书查询 CertificateSearch crt.sh | Certificate Search

  • 搜索引擎

    • fofa 鹰图 夸克 钟馗之眼 sd

  • 威胁情报

    • 微步 奇安信 360

  • 枚举解析（暴力破解）

    • 枚举解析 工具强大的子域名收集器 https://github.com/shmilylty/OneForAll 

    • 枚举解析 在线子域名查询 在线子域名二级域名查询工具 - 在线工具

    • 枚举解析 DNSGrep子域名查询 https://www.dnsgrep.cn/subdomain

web架构资产（指纹）

有的会误报哦。 1、程序语言 2、框架源码 3.搭建平台 4.数据库类 5，操作系统

• 工具&平台

  • 指纹识别 TideFinger潮汐 TideFinger 潮汐指纹 TideFinger 潮汐指纹

    报多

  • 指纹识别 云悉指纹 yunsee.cn-2.0

    尽量报少也不报错

  • 指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer

  • 内网：cmsseek，cmsmap

• 分类

  • 1、程序语言

  • 2、框架源码

  • 3.搭建平台

  • 4.数据库类

  • 5，操作系统

JS前端框架

什么是JS渗透测试？ 在Javascript中也存在变量和函数，当存在可控变量及函数调用即可参数漏洞 JS开发的WEB应用和PHP，JAVA,NET等区别在于即没有源代码，也可以通过浏览器的查看源代码获取真实的点。获取URL，获取JS敏感

信息，获取代码传参等，所以相当于JS开发的WEB应用属于白盒测试（默认有源码参考），一般会在JS中寻找更多的URL地址，在JS代码逻辑（加密算法，APIkey配置，验证逻辑等）进行后期安全测试。

JS安全问题： 1-源码泄漏 2-未授权访问=JS里面分析更多的URL访问确定接口路径 3-敏感key泄漏=JS文件中可能配置了接口信息（云应用，短信，邮件，数据库等）

4-API接口安全=（代码中加密提交参数传递，更多的URL路径）

解决： 1-从js中提取有价值的信息 2-fuzz 3-js开发框架webpack打包器

• 知识点

  前提：Web应用可以采用后端或前端语言开发 -后端语言：php java python .NET 浏览器端看不到真实的源代码（黑盒） -前端语言：JavaScript(JS)和JS框架 浏览器端看到真实的源代码（白盒） 例子： zblog：核心功能采用PHP语言去传输接受 vue.js：核心功能采用框架语法（JS）传输接受 目的 从js中抛离 url地址 从url分析泄露的代码

  • 识别--是否为js框架

    • 怎么传输数据？ 抓网络包 JS/脚本语言

  • 前后端差异

  • 框架

    • vue.js

    • react

  • 安全问题

    • 源码泄露

    • api

    • 敏感key

    • 未授权访问漏洞

• 测试

  js框架应用下，测试，js才多！！！

  • 工具

    • wallapyer

  • 手工

    • 抓网络包，查，看

    • 搜--找链接地址和路径

      如何快速获取价值信息？（手工剥离模式 直接ctrl shift+f） src= （这个获取的信息容易出未授权漏洞） path=（路径） method:"get" http.get(" method:"post" http.post(" $.ajax http://service.httppost http://service.httpget url accesskey

  • 半自动

    • bp

      • 对象--find scripts

      • 插件

        • jslink finder

        • js miner

        • HaE

          GitHub - gh0stkey/HaE: HaE - Highlighter and Extractor, Empower ethical hacker for efficient operations. https://raw.githubusercontent.com/gh0stkey/HaE/gh-pages/Config.yml

          • 匹配规则

  • 全自动

    • 浏览器插件

      • findsomething

    • 工具

      • jsfinder

        老牌，自动提取里面的路径，访问 ---未授权

      • urlfinder

        exe直接用，jsfinder升级版

      • ffuf

        功能强大的模糊化工具，用它来FUZZ模糊化js文件。 爆破方式，测试未知的点 ，（因为还有一些没加载的）

        • fuzz，爆破更多js

      • Packer-Fuzzer

        GitHub - rtcatc/Packer-Fuzzer: Packer Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack.

        • 款针对webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。

        • 杂项 js打包器webpack

        • 自动提取js，从里面帅选漏洞等等

  • 字典

    • Assetnote Wordlists

设备平台

• WAF

  Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品

  • WAF分类

    知道自己面对的是什么！ 自己能不能行！

    • 云（厂商的云服务器）WAF：百度安全宝、阿里云盾、长亭雷池，华为云，亚马逊云等

      有实力的，中大型，

    • 硬件WAF（对硬件服务器的保护）：绿盟、安恒、深信服、知道创宇等公司商业产品

      有实力，中大型，找人

    • 软件WAF：宝塔，安全狗、D盾等

      小中型企业，黑灰，没米，

    • 代码级WAF：自己写的waf规则，防止出现注入等，一般是在代码里面写死的

      规则

  • 识别

    • 看图，看返回内容

    • 工具

      • wafw00f

        识别软件waf

      • identywaf

    • 搜索引擎识别

      • Server，，，

• 蜜罐

  部署 识别

  • 蜜罐解释：

    • 蜜罐是一种安全威胁的检测技术，其本质在于引诱和欺骗攻击者，并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此，我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

  • 蜜罐分类

    • 根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类: 低交互蜜罐、中交互蜜罐、高交互蜜罐。 当然还可以根据蜜罐模拟的目标进行分类，比如：数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。

  • 产品

    • 蜜罐 Quake系统搜索语法

    • STRUTSHONEYPOT app:"StrutsHoneypot"

    • CONPOT HTTP 蜜罐 app:"Conpot Http 蜜罐"

    • CONPOT MODBUS 蜜罐 app:"Conpot modbus 蜜罐"

    • CONPOT S7 蜜罐 app:"Conpot s7 蜜罐"

    • KIPPO 蜜罐 app:"kippo 蜜罐"

    • HONEYPY HTTP 蜜罐 app:"Honeypy Http 蜜罐"

    • HONEYPY ES蜜罐 app:"Honeypy ES蜜罐"

    • AMUN IMAP 蜜罐 app:"amun imap 蜜罐"

    • AMUN HTTP蜜罐 app:"amun http蜜罐"

    • NEPENTHES NETBIOS蜜罐 app:"Nepenthes netbios蜜罐"

    • NEPENTHES FTP 蜜罐 app:"Nepenthes FTP 蜜罐"

    • SSHESAME SSH 蜜罐 app:"sshesame ssh 蜜罐"

    • OPENCANARY蜜罐管理后台 app:"opencanary蜜罐管理后台"

    • DIONAEA SIPD 蜜罐 app:"Dionaea sipd 蜜罐"

    • DIONAEA SMBD 蜜罐 app:"Dionaea smbd 蜜罐"

    • DIONAEA HTTP 蜜罐 app:"Dionaea Http 蜜罐"

    • DIONAEA MSSQL 蜜罐 app:"Dionaea MSSQL 蜜罐"

    • DIONAEA FTP 蜜罐 app:"Dionaea ftp 蜜罐"

    • DIONAEA MEMCACHED 蜜罐 app:"Dionaea Memcached 蜜罐"

    • KOJONEY SSH 蜜罐 app:"Kojoney SSH 蜜罐"

    • WEBLOGIC蜜罐 app:"weblogic蜜罐"

    • MYSQL蜜罐 app:"MySQL蜜罐"

    • HFISH蜜罐 app:"HFish蜜罐"

    • HFISH蜜罐管理后台 app:"HFish蜜罐管理后台"

    • HONEYTHING物联网蜜罐 app:"honeything物联网蜜罐"

    • ELASTICSEARCH蜜罐 app:"elasticsearch蜜罐"

    • HOSTUS蜜罐 app:"HostUS蜜罐"

    • WHOISSCANME蜜罐 app:"whoisscanme蜜罐"

    • 未知蜜罐 app:"未知蜜罐"

    • COWRIE TELNETD蜜罐 app:"Cowrie telnetd蜜罐"

    • GLASTOPF蜜罐 app:"glastopf蜜罐"

  • 识别

    谁是鱼谁是饵？红队视角下蜜罐识别方式汇总

    • 特性

    • 浏览器插件

      • Heimdallr

    • 工具

      • 360夸克

        GitHub - 360quake/quake_rs: Quake Command-Line Application quake.exe init apikey值 quake.exe honeypot 目标

        • 使用要先配置一下夸克的积分 --先初始化api值

    • 人工分析

      • 端口多而且有规律性

      • web访问协议就下载

      • 设备指纹分析

    • 搜索引擎自动识别

      夸克，鹰图，

  • 部署

    • Hfish 4433

      • 反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台

• CDN（16）

  就是真实的ip被模糊了，得到真实的ip才能干

  • 相关知识

    前置知识：CDN 的影响就是影响我们寻找真实的ip 布置CDN的服务厂商经常就是 布置多个CDN在不同地区

    1.传统访问：用户访问域名–>解析服务器IP–>访问目标主机 2.普通CDN：用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机 3.带WAF的CDN：用户访问域名–>CDN节点（WAF）–>真实服务器IP–>访问目标主机

  • 服务商

    国内服务商： 阿里云 百度云 七牛云 又拍云 腾讯云 Ucloud 360 网宿科技 ChinaCache

    国外服务商 CloudFlare StackPath Fastly Akamai CloudFront Edgecast CDNetworks Google Cloud CDN CacheFly Keycdn Udomain CDN77

  • 配置

    CDN配置：（就近原则容易被IP假的诱惑）

    配置1：加速域名-需要启用加速的域名（子域名获取真实ip）www.xaiodi8 加速 aaa.xaiodi 不加速 这个的前提就是这两个域名在同一网段 这个和加速配置有关 配置2：加速区域-需要启用加速的地区（国外访问获取真实ip） 配置3：加速类型-需要启用加速的资源（访问不需要加速的资源）

  • 判断是否为CDN

    超级Ping：网站测速|网站速度测试|网速测试|电信|联通|网通|全国|监控|CDN|PING|DNS 一起测试|17CE.COM（通过看每个地区的访问的IP来看是不是CDN） 超级Ping：多个地点Ping服务器,网站测速 - 站长工具 接口查询：Get Site IP - Find IP Address and location from any URL 接口查询：NOSEC|FOFA用户中心 国外请求：全球 CDN 服务商查询_专业精准的IP库服务商_IPIP 国外请求：阿里云网站运维检测平台 IP社区库：纯真网络，中国历史最悠久的IP地理位置库 全网扫描：GitHub - Tai7sy/fuckcdn: CDN真实IP扫描，易语言开发 全网扫描：GitHub - boy-hack/w8fuckcdn: Get website IP address by scanning the entire net 通过扫描全网绕过CDN获取网站IP地址 全网扫描：GitHub - Pluto-123/Bypass_cdn: 绕过CDN查找网站的真实IP地址

    干货 | 渗透测试中最全的CDN绕过总结 常见方法： 子域名，邮件系统，国外访问，证书查询，APP抓包，网络空间 通过漏洞或泄露获取，扫全网，以量打量，第三方接口查询等

    • 前置后置-CDN服务-识别&绑定访问

      • 超级Ping：网站测速|网站速度测试|网速测试|电信|联通|网通|全国|监控|CDN|PING|DNS 一起测试|17CE.COM

      • 超级Ping：多个地点Ping服务器,网站测速 - 站长工具

      • 各地ping（出现多个IP即启用CDN服务）

      • 后置：绑定HOST访问解析（参考基础课CDN安全影响）

  • 绕过

    • 某应用-CDN绕过-主动漏洞&遗留文件

      • 配置加速选项中只加速主域名，导致其他子域名未加速（解析IP可能同IP也可能C段）

      • 接口查询：Get Site IP - Find IP Address and location from any URL

      • 接口查询：NOSEC|FOFA用户中心

      • 使用网络空间&第三方功能集合查询判断

    • 主动

      • 本地访问有cdn的服务器，会被安排呀

      • 服务器遗留文件

        phpinfo.php

      • 邮件系统

        某应用-CDN绕过-邮件系统 判断条件：发信人是当前域名邮件用户名 -让他主动给你发： 部署架设的邮件服务器如果向外部用户发送邮件的话， 那么邮件头部的源码中会包含此邮件服务器的真实IP地址。 常见的邮件触发点有： 1、RSS订阅 2、邮箱注册、激活处 3、邮箱找回密码处 4、产品更新的邮件推送 5、某业务执行后发送的邮件通知 6、员工邮箱、邮件管理平台等入口处的忘记密码 -你给未知邮箱发：（需要自己的邮件服务器不能第三方） 通过发送邮件给一个不存在的邮箱地址，因为该用户邮箱不存在，所以发送将失败， 并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。

        • 你主动给他发

          你给未知邮箱发：（需要自己的邮件服务器不能第三方） 通过发送邮件给一个不存在的邮箱地址，因为该用户邮箱不存在，所以发送将失败， 并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知

          • 要自己搭建邮件服务器

    • 被动

      • 让服务器主动跳出来找你，访问你 ---日志

        例：本地python开放http，服务器远程访问。

      • 对方主动给你发邮件

        例：找回密码，订阅，等等

        • 注意发件人名字与目标一致

    • 接口查询

      • 接口查询：Get Site IP - Find IP Address and location from any URL

      • 接口查询：NOSEC|FOFA用户中心

    • fofa

      主要查国外cdn真实ip

      • 新服务--需要F点

    • 全网扫描

      类似于以量打量

      • 1.判断服务商

        • 国外请求：全球 CDN 服务商查询_专业精准的IP库服务商_IPIP

      • 2.弄ip库--获取所有ip

        • IP社区库：纯真网络，中国历史最悠久的IP地理位置库

      • 3.ip帅选，确定扫描段

        配置扫描过滤规则 ，xxx.ini 扫c段等等

        • 全网扫描：GitHub - Tai7sy/fuckcdn: CDN真实IP扫描，易语言开发

          基于ip访问

        • 全网扫描：GitHub - boy-hack/w8fuckcdn: Get website IP address by scanning the entire net 通过扫描全网绕过CDN获取网站IP地址

        • 全网扫描：GitHub - Pluto-123/Bypass_cdn: 绕过CDN查找网站的真实IP地址

          基于子域名访问

  • 确定真实ip后

    • 修改本地hosts文件，绑定真实ip

web&应用服务器

（主机服务器）

• 知识点

  • Web服务器

    • Apache、Nginx、IIS、lighttpd等

  • 应用服务器

    • Tomcat、Jboss、Weblogic、Websphere等

  • 数据库类型

    • Mysql、SqlServer、Oracle、Redis、MongoDB

  • 应用服务信息

    • FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等

  • 常见服务-端口-利用

    • 端口 服务 渗透用途

    • tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)

    • tcp 22 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等

    • tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令

    • tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑

    • tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控

    • tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件

    • tcp 80-89,443,8440-8450,8080-8089 各种常用的Web服务端口 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……

    • tcp 110 POP3 可尝试爆破,嗅探

    • tcp 111,2049 NFS 权限配置不当

    • tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……

    • tcp 143 IMAP 可尝试爆破

    • udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息

    • tcp 389 LDAP ldap注入,允许匿名访问,弱口令

    • tcp 512,513,514 Linux rexec 可爆破,rlogin登陆

    • tcp 873 Rsync 匿名访问,文件上传

    • tcp 1194 OpenVPN 想办法钓VPN账号,进内网

    • tcp 1352 Lotus 弱口令,信息泄漏,爆破

    • tcp 1433 SQL Server 注入,提权,sa弱口令,爆破

    • tcp 1521 Oracle tns爆破,注入,弹shell…

    • tcp 1500 ISPmanager 弱口令

    • tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网

    • tcp 2082,2083 cPanel 弱口令

    • tcp 2181 ZooKeeper 未授权访问

    • tcp 2601,2604 Zebra 默认密码zerbra

    • tcp 3128 Squid 弱口令

    • tcp 3312,3311 kangle 弱口令

    • tcp 3306 MySQL 注入,提权,爆破

    • tcp 3389 Windows rdp shift后门[需要03以下的系统],爆破,ms12-020

    • tcp 3690 SVN svn泄露,未授权访问

    • tcp 4848 GlassFish 弱口令

    • tcp 5000 Sybase/DB2 爆破,注入

    • tcp 5432 PostgreSQL 爆破,注入,弱口令

    • tcp 5900,5901,5902 VNC 弱口令爆破

    • tcp 5984 CouchDB 未授权导致的任意指令执行

    • tcp 6379 Redis 可尝试未授权访问,弱口令爆破

    • tcp 7001,7002 WebLogic Java反序列化,弱口令

    • tcp 7778 Kloxo 主机面板登录

    • tcp 8000 Ajenti 弱口令

    • tcp 8009 tomcat Ajp Tomcat-Ajp协议漏洞

    • tcp 8443 Plesk 弱口令

    • tcp 8069 Zabbix 远程执行,SQL注入

    • tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令

    • tcp 9080-9081,9090 WebSphere Java反序列化/弱口令

    • tcp 9200,9300 ElasticSearch 远程执行

    • tcp 11211 Memcached 未授权访问

    • tcp 27017,27018 MongoDB 爆破,未授权访问

    • tcp 50070,50030 Hadoop 默认端口未授权访问

  • 操作系统

• 信息搜集

  • 端口扫描

    服务，端口，协议，中间件，应用（web，数据库，邮件）

    • zenmap namp

      • 状态

        • filtered--过滤，有可能开有可能不开

          防火墙阻止判断，允许，

        • close--关闭

        • open--开放

    • masscan

    • 扫不到-考虑

      • 1.防火墙 2.内网环境

        内网反向代理流量到一台外网上。外网3306没开，内网3306开了，就是扫不到3306 ---只能扫到对外的。

        • 内网环境可能出现情况：明明数据库端口开的，网站也能正常打开，但是你对目标进行端口扫描，发现数据库端口没有开放（排除防火墙问题）

  • 看返回数据包

  • 搜索引擎

语言框架（17）

框架：简单代码的一个整合库，如果使用框架就只需要学习使用框架调用即可 如：文件上传功能是需要很多代码来实现的，框架把这个代码进行封封装，调用即可 影响：如果采用框架开发，代码的安全性是取决于框架的过滤机制 这个就等于一种函数

组件：第三方的功能模块（日志记录，数据监控，数据转换等）

• 知识点

  后端： CMS：一般PHP开发居多源码程序 （利用源码程序名去搜漏洞情 况，源码去下载进行后期的代码审计）

  前端： js 框架（爬取更多的js从里面筛选URL或敏感泄漏key等） 也是可以通过对js代码逻辑进行代码审计。

  组件：java居多， 常见有过安全漏洞组件（shiro so lr log4j sprintboot等）

  框架：php java python都有

  • 框架&组件

  • CMS

    • Discuz、WordPress、Ecshop、蝉知等

  • 开发语言

    • PHP、JAVA、Ruby、Python、C#，JS等

  • 前端技术

    • HTML5、jquery、bootstrap、Vue等

  • web架构

    • 1、最简单最入门的开发模型（功能代码全部手写）

      最容易出现漏洞，程序员水平不一，没有第三方或团队的检测，单纯的自己写

    • 2、结合开发框架（开发框架会有一定的过滤作用，这个你只需要调用就行）的开发模型（以框架为核心实现功能）

      第三方或团队的开发的封装代码框架，一般内置的过滤机制（框架漏洞）

    • 3、结合开发框架外加组件（一般都是支持专一功能）模型（以框架为核心，组件为辅实现功能）

      第三方或团队的开发的封装代码框架，一般内置的过滤机制（框架和组件漏洞）

    • 4、此外还会出现一些半成品 （程序员不按照框架的的提示安全模式 ）

• 指纹识别

  • GotoScan（CMSEEK）

    • 可扫内网，匹配

• python

  • django

    • 看数据包 Set-Cookie:expires=

  • flask

• PHP

  • thinkphp

    • 在其基础上开发的其他系统

  • Laravel

  • Yii

• java

  • 52类110个主流Java组件和框架介绍：

    • 52类110个主流Java组件和框架介绍_基于java的组件有哪些-CSDN博客

  • Fastjson/Jackson

    数据转换组件，

    • 在提交JSON数据包中修改测试：

    • -Fastjson组件会把01解析成1

    • -Jackson组件在解析01时会抛出异常

    • 奇安信攻防社区-浅谈黑盒识别Fastjson/Jackson组件

    • https://www.iculture.cc/forum-post/24115.html

  • Shiro

    安全，身份验证组件

    • 请求包的cookie中存在rememberMe字段。

    • 返回包中存在set-Cookie：remeberMe=deleteMe 。

    • 请求包中存在rememberMe=x时，响应包中存在rememberMe=deleteMe。

    • 有时候服务器不会主动返回remeberMe=deleteMe，直接发包即可，将Cookie内容改为remember Me=1，若相应包有rememberMe=deleteMe，则基本可以确定网站apache shiro搭建的。

  • Struts2

    • 一般使用struts2框架后缀带do或action有的在url 有的在cookie返回包，可以尝试进行利用

  • Springboot

    • 1、通过web应用程序网页标签的小绿叶图标

    • 2、通过springboot框架默认报错页面

  • Solr识别

    • 一般开放8983端口,访问页面也可以探针到 访问8983会进行跳转

    • 作用：用来搜索的

• 靶场推荐

  • vulfocus

  • vulhub

  • docker hub

    自己拉镜像，搜vulhub

• 识别

  • 插件识别，端口扫描，网络空间

  • 看数据包

    • Set-Cookie:expires=

    • 字段

  • 图标

    • icon

  • 组件

  • 框架上二开的

    • 搜源码

  • 固定端口

源码

开源，闭源，自写。 解决1：识别出大致信息却无下载资源（知道是什么源码确不能认出） 解决2：闭源的 未识别出信息使用码云资源获取 解决3：其他行业开发使用对口资源站获取

开源

• 例： 指纹识别出z-blog,直接搜索，对比相似程度。（网络包）

• 搜源码

  搜搜搜，关键字，邮箱，

  • oschina

  • github

    GITHUB资源搜索： in:name test #仓库标题搜索含有关键字 in:descripton test #仓库描述搜索含有关键字 in:readme test #Readme文件搜素含有关键字 stars:>3000 test #stars数量大于3000的搜索关键字 stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字 forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素 license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字 user:test in:name test #组合搜索,用户名test的标题含有test的 关键字配合谷歌搜索： site:Github.com smtp site:Github.com smtp @qq.com site:Github.com smtp @126.com site:Github.com smtp @163.com site:Github.com smtp @sina.com.cn site:Github.com smtp password site:Github.com String password smtp

  • gitee

  • Google

    关键字配合谷歌搜索： site:Github.com smtp site:Github.com smtp @qq.com site:Github.com smtp @126.com site:Github.com smtp @163.com site:Github.com smtp @sina.com.cn site:Github.com smtp password

闭源

识别不出

• 源码泄露

  #后端-闭源-配置不当-源码泄漏 参考：常见的Web源码泄漏漏洞及其利用 - SecPulse.COM | 安全脉搏 备份：敏感目录文件扫描 CVS：GitHub - kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG... GIT：GitHub - lijiejie/GitHack: A `.git` folder disclosure exploit SVN：GitHub - callmefeifei/SvnHack: 一个Svn信息泄露辅助工具，可以使用这个脚本列取网站目录，读取源码文件以及下载整站代码。 DS_Store：GitHub - lijiejie/ds_store_exp: A .DS_Store file disclosure exploit. It parses .DS_Store file and downloads files recursively.

  源码泄漏原因： 1、从源码本身的特性入口 2、从管理员不好的习惯入口 3、从管理员不好的配置入口 4、从管理员不好的意识入口 5、从管理员资源信息搜集入口 源码泄漏集合： composer.json git源码泄露 svn源码泄露 hg源码泄漏 网站备份压缩文件 WEB-INF/web.xml 泄露 DS_Store 文件泄露 SWP 文件泄露 CVS泄露 Bzr泄露 GitHub源码泄漏

  • 源码备份泄露

    • 目录下的压缩包

  • git泄露

    • Githack工具

  • svn泄露

    • xxxx/.svn

    • svnhack工具

  • ds_store泄露

    mac上泄露

    • ds_store_exp-master工具

  • composer.json

    开发文件

• 文件搜索

  • 平台

  • 特征关键字

    • js 脚本

• 信息搜索

  qq，邮箱，关键字，注释，作者

行业

• 黑灰

  • 互站网

  • 各类站，引擎

解决问题

• 解决1：识别出大致信息却无下载资源

  • 网络抓包，找特殊文件，码云搜。 对比官方源码

    文件？路由？参数？ --找有用的关键

• 解决2：闭源的 未识别出信息使用码云资源获取

• 解决3：其他行业开发使用对口资源站获取

  • app--反编译

    • 搜源码

APP资产（18）

18天最后讲了mobsf的安装

目标名称搜索

• 爱企查/小蓝本/七麦/点点

  • 获客营销系统_ai智能拓客系统_企业获客系统-小蓝本获客系统

  • 百度安全验证

  • 七麦数据 -专业移动产品商业分析平台-关键词优化-ASA优化-七麦科技

  • 点点数据-App数据查询分析,AppStore排行榜,ASO,ASM优化平台

备案信息查询

• 1、查备案信息在搜

• 2、网站上有APP下载

• 3、市场直接搜单位名称

信息搜集

• 技术分类

  • 1、抓包-动态表现（app表现给到你）

  • 2、提取-静态表现（app不给你 这个信息是静态·你自己去获取逆向 获取源码 再获取信息）&动态调试（与动态抓包的区别就是在于它可以绕过一些证书还可以抓一下抓包无法抓到的东西）

  • 3、搜索-静态表现

• 提取技术

  • 1、抓包抓表现出来的数据

  • 优点：没有误报

  • 缺点：无法做到完整（因为这是动态表现 只能获取网站表现出来的）

  • 2、反编译从源码中提取数据

  • 优点：数据较为完整（直接获取全部的网页代码）

  • 缺点：有很多无用的资产

  • 3、动态调试从表现中提取数据

  • 优点：没有误报，解决不能抓包不能代理等情况(动态抓包主要的作用就是可以解决 app识别出代理而无法打开的问题)

  • 优点；搞逆向的人能看到实时的app调用链等

  • 缺点：无法做到完整

• 信息泄露

  ip，域名，api，代码，信息泄露！！！

  • 通过获取App配置、数据包，去获取url、api、osskey、js等敏感信息。

  • 1、资产信息-IP 域名 网站 -转到对应Web测试 接口测试 服务测试

  • 2、泄露信息-配置key 资源文件 - key（osskey利用，邮件配置等）

  • 3、代码信息-java代码安全问题- 逆向相关

• 工具&平台

  规则，匹配，精确

  • 在线平台

    • 摸瓜-查诈骗APP_查病毒APP_免费APK反编译分析工具

    • 南明离火-移动安全分析平台

      • 静态免费

    • GitHub - kelvinBen/AppInfoScanner: 一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具，可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如：Title、Domain、CDN、指纹信息、状态信息等。

    • GitHub - MobSF/Mobile-Security-Framework-MobSF: Mobile Security Framework (MobSF) is an automated, all-in-one mobile application (Android/iOS/Windows) pen-testing, malware analysis and security assessment framework capable of performing static and dynamic analysis.

  • 工具

    • 1、MobSF

      • Windows - MobSF安装参考：

        • Mobsf--windows10部署 - 白白以桃花入笺 - 博客园

        • 移动安全测试框架-MobSF环境搭建-CSDN博客

      • 开源免费

      • 动态分析，调试

        • 本地要提前开一个模拟器

        • 抓包功能，操作的数据都会记录

    • 2、AppInfoScanner

      • 国产工具，python

• 案例

  动/静态 资源 加密？源码

  • 案例：某APP打开无数据包，登录有数据包（反编译后未找到目标资产，抓包住到了）

    • 原因：那个登录界面是APP打包的资源，并没有对外发送数据（他不是这个app里的东西）

    • （这个登录界面是用户和后台做了数据的交互 这就是动静区别）（如果静态一开始就有数据包的产生那会不会就能解析到呢 这个其实有不一定因为 一开始有的url web服务器不知道是个url）

小程序（19）

小程序获取-各大平台&关键字搜索（知识产权） -微信 -百度 -支付宝 -抖音头条

搜

组成

• 1.主体结构

  • 小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。

  • 一个小程序主体部分(即app)由三个文件组成，必须放在项目的根目录，如下：

  • 文件 必需 作用

  • app.js 是 小程序逻辑

  • app.json 是 小程序公共配置

  • app.wxss 否 小程序公共样式表

• 2.一个小程序页面由四个文件组成，分别是:

  • xxx.js 页面逻辑

  • xxx.json 页面配置

  • xxx.wxml 页面结构

  • xxx.wxss 页面样式

• 3.项目整体目录结构

  • pages 页面文件夹

  • index 首页

  • logs 日志

  • utils

  • util 工具类(mina框架自动生成,你也可以建立一个：api)

  • app.js 入口js(类似于java类中的main方法)、全局js

  • app.json 全局配置文件

  • app.wxss 全局样式文件

  • project.config.json 跟你在详情中勾选的配置一样

  • sitemap.json 用来配置小程序及其页面是否允许被微信索引

搭建

• 小程序体验-凡科建站&模版测试上线

• 测试：微信小程序制作 - 首页

• 参考：微信开发者工具-CSDN博客

抓包

bp证书安装到浏览器的2个地方（中间证书xxx，受信任xxx）

• Proxifier&BurpSuite联动

  • bp证书，proxifier配置规则

  • 抓ip/域名 资产

    • api

    • 端口

    • web测试

逆向

小程序多功能组手 复杂操作：微信小程序反编译 - liuhuayiye - 博客园 简单工具：小程序多功能助手 -微信官方开发工具 微信开发者工具（稳定版 Stable Build）下载地址与更新日志 | 微信开放文档 ---这里要找nb的工具或自己基础很强才能更好进行·

• 解包&反编译

  • 对源码架构进行分析

  • -更多的资产信息

  • -敏感的配置信息

    • 关键字

    • 资源多--OSS存储等等

  • -未授权访问测试

  • -源码中的安全问题

• 微信开发者工具

  • 加载源码/调试

工具项目（20）

各类红蓝队优秀工具项目集合

• GitHub - guchangan1/All-Defense-Tool: 本项目集成了全网优秀的攻防武器工具项目，包含自动化利用，子域名、目录扫描、端口扫描等信息收集工具，各大中间件、cms、OA漏洞利用工具，爆破工具、内网横向、免杀、社工钓鱼以及应急响应、甲方安全资料等其他安全攻防资料。

• 本项目集成了全网优秀的开源攻防武器项目，包含信息收集工具（自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件...），漏洞利用工具（各大CMS利用工具、中间件利用工具等项目...），内网渗透工具（隧道代理、密码提取...）、应急响应工具、甲方运维工具、等其他安全攻防资料整理，供攻防双方使用。如果你有更好的建议，欢迎提出请求。

武器库部署-F8x(批量安装环境)

• GitHub - ffffffff0x/f8x: 红/蓝队环境自动化部署工具 | Red/Blue team environment automation deployment tool

• 1、介绍：

  • 一款红/蓝队环境自动化部署工具,支持多种场景,渗透,开发,代理环境,服务可选项等.

• 2、配置：

• 通过 CF Workers 下载 [推荐]

• wget : wget -O f8x https://f8x.io/

• curl : curl -o f8x https://f8x.io/

• 3、使用：见项目文档

[网络空间-AsamF

（直接导，爬虫）](GitHub - Kento-Sec/AsamF: AsamF是集成Fofa、Quake、Hunter、Shodan、Zoomeye、Chinaz、0.zone及爱企查的一站式企业信息资产收集、网络资产测绘工具。)

• 项目地址：GitHub - Kento-Sec/AsamF: AsamF是集成Fofa、Quake、Hunter、Shodan、Zoomeye、Chinaz、0.zone及爱企查的一站式企业信息资产收集、网络资产测绘工具。

• 1、介绍：

  • AsamF集成了Fofa、Hunter、Quake、Zoomeye、Shodan、爱企查、Chinaz、0.zone、subfinder。AsamF支持Fofa、Hunter、Quake、Zoomeye、Shodan、Chinaz、0.zone配置多个Key。

• 2、配置：

  • AsamF会在~/.config/asamf/目录下生成config.json文件。

  • 如果你有多个key，按照json的格式录入即可，建议键值按照阿拉伯数字依次录入,方便以阿拉伯数字来切换key。自动结果保存在~/asamf/目录下。

    • 配置key

• 3、使用：见项目文档

企查信息-ENScan（一步企查）

• 项目地址：GitHub - wgpsec/ENScan_GO: 一款基于各大企业信息API的工具，解决在遇到的各种针对国内企业信息收集难题。一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚合导出。

  • 直接借助各大平台 导出要搜索的目标信息（cookie）

• 1、介绍：

  • 剑指HW/SRC，解决在HW/SRC场景下遇到的各种针对国内企业信息收集难题

• 2、配置：

  • ENScanGo在第一次使用时需要使用-v命令生成配置文件信息后进行配置，

    • 配置信息，cookie，token

• 3、使用：见项目文档

综合架构-自动化

• ARL

  • -ARL灯塔

    • 项目地址：https://github.com/TophantTechnology/ARL

  • 1、介绍：

    • 旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

  • 2、配置：（docker搭建）

  • git clone https://github.com/TophantTechnology/ARL

  • cd ARL/docker/

  • docker volume create arl_db

  • docker-compose pull

  • docker-compose up -d

  • 3、使用：见直播操作

  • 目标---用主域名， 不能扫edu/gov

• Nemo

  • Nemo_Go

    • 项目地址：GitHub - hanc00l/nemo_go: Nemo是用来进行自动化信息收集的一个简单平台，通过集成常用的信息收集工具和技术，实现对内网及互联网资产信息的自动收集，提高隐患排查和渗透测试的工作效率。

    • 1、介绍：

      • Nemo是用来进行自动化信息收集的一个简单平台，通过集成常用的信息收集工具和技术，实现对内网及互联网资产信息的自动收集，提高隐患排查和渗透测试的工作效率，用Golang完全重构了原Python版本。 更强。

    • 2、配置：（docker搭建）

      • https://github.com/hanc00l/nemo_go/blob/main/docs/docker.md

      • 下载release的nemo_linux_amd64.tar后执行：

      • mkdir nemo;tar xvf nemo_linux_amd64.tar -C nemo;cd nemo

      • docker-compose up -d

    • 3、使用：见直播操作

      • nemo nemo

      • api token --配置好相应的key，测试

        • BUG：在目录下的配置文件里也要配置，重启 --不然，网络空间里的结果都是空的 修改一次就要重启一下

      • 可扫edu

搭建过程

• vps

• apt-get update apt-get install docker apt-get install docker-compose

• ARL 安装文档

• nemo单docker安装 wegt xxx.tar 或直接下载 报错--修改

• f8x

wx公众号&Github&监控&网络空间（21）

公众号查询

• 1、获取微信公众号途径

  • 搜狗微信搜索_订阅号及文章内容独家收录，一搜即达

• 2、微信公众号有无第三方服务

Github&监控

目标中开发人员或者托管公司上传的项目存在源码泄漏或配置信息（密码密匙等），人员数据库等敏感信息，找到多个脆弱点。

---信息泄露

• 人，域名，邮箱，搜索-追踪

• 1、人员&域名&邮箱等筛选

  • eg：xxx.cn password in:file

  • Gitee - 基于 Git 的代码托管和研发协作平台

  • GitHub · Build and ship software on a single, collaborative platform · GitHub

  • 互站网 - 国内知名的网站、域名、软件、APP源码交易平台

• GITHUB资源搜索：

  • in:name test #仓库标题搜索含有关键字

  • in:descripton test #仓库描述搜索含有关键字

  • in:readme test #Readme文件搜素含有关键字

  • stars:>3000 test #stars数量大于3000的搜索关键字

  • stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字

  • forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素

  • license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字

  • user:test in:name test #组合搜索,用户名test的标题含有test的

  • xxx.cn password in:file

• 关键字配合谷歌搜索：

  • site:Github.com smtp

  • site:Github.com smtp @qq.com

  • site:Github.com smtp @126.com

  • site:Github.com smtp @163.com

  • site:Github.com smtp @sina.com.cn

  • site:Github.com smtp password

  • site:Github.com String password smtp

• 监控

  长期，

  • 2、语法固定长期后续监控新泄露

    • -基于关键字监控

    • -基于项目规则监控

  • VIPKID GITHUB MONITOR

    • Github信息泄漏监控系统

    • 长期监控，信息泄露，项目，工具，文章等等，cve，免杀

    • （注意网络连接问题）

  • FireEyeGoldCrystal

  • Gshark

网盘

共享的

• 网盘搜索器

  • 主要看敏感信息

网络空间进阶

• 证书

  • cert:""

• ico

  • 直接搜索

• 邮箱

  • @xxx.cn

目录&爬虫

扫--字典 爬--请求

---